Perfilamiento de adversarios, ¿por qué las empresas no lo consideran?
Escrito por: Levi Sinuhe Reza
En el mundo de la ciberseguridad es importante entender quiénes son los adversarios o actores de amenaza a los que nuestra organización se puede enfrentar, esto nos puede ayudar a definir nuestra estrategia en ciberseguridad.
Podemos definir a un adversario, o actores de amenaza, como un grupo o una persona que puede dañar o atacar a nuestra organización empleando acciones maliciosas contra usuarios final o recursos informáticos.
Los adversarios son cada vez más sofisticados, tienen recursos monetarios, tecnológicos, entrenamiento, y son expertos en lanzar campañas de intrusión planeadas, conocidas como Advanced Persistent Threats (APTs). El poder perfilar a nuestros adversarios, sus motivaciones y estrategias nos ayudará a proteger nuestros activos.
MITRE ATT&CK: perfilando al adversario.
EL MITRE ATT&CK es una base de conocimiento de Tactics y Techniques de los adversarios basadas en hallazgos en el mundo real, y es accesible a nivel mundial.
Caso de uso: supongamos que trabajamos en un banco en México. En este momento, un grupo de adversarios está efectuando un ataque en una entidad financiera en Europa, muy probablemente ese ataque se puede replicar contra la institución para la cual laboramos, no sabemos si así será o no, pero queremos estar seguros de que, en caso de que así sea, estemos protegidos para que el impacto de ese compromiso sea mínimo, ¿cómo sabemos si somos vulnerables a ese ataque?
El objetivo del perfilamiento del adversario es poder elaborar un perfil de este para predecir su comportamiento, movimientos y emular sus TTPs para cerrar posibles brechas, y así estar preparados ante un posible ataque.
¿Qué son las Tactics, Techniques y Procedures (TTPs)?
Tactics: representan el “why” de una Technique o Sub-Technique, es el objetivo/razón táctica del adversario, como puede ser el acceso inicial.
Techniques: representan el “how” el adversario lograr un objetivo táctico, como obtener las credenciales para obtener acceso al sistema.
Procedures: Representan la parte técnica empleada para lograr los objetivos, como el uso de un malware embebido en archivos pdf.
La emulación de adversarios es una de las actividades del Red Team. El objetivo es emular una amenaza conocida, se construye un escenario con base a sus TTPs para probar las defensas con el adversario emulado y así encontrar áreas de oportunidad.
Podemos recomendar 5 pasos para la creación de un plan de emulación de adversarios:
- Gather threat Intel
- Extract Techniques
- Analyze & organize
- Develop tools and procedures
- Emulate the adversary
Podemos realizar emulación de adversarios y complementar las actividades con The Cyber Kill Chain para poder identificar en qué parte de la cadena se corta la emulación y definir el nuevo plan de mejora.
The Cyber Kill Chain es un framework desarrollado por Lockheed Martin que forma parte del modelo “Intelligence Driven Defense”, una filosofía que tiene como objetivo detener las maniobras ofensivas durante un ciberataque mientras se mantiene una postura defensiva. El modelo identifica las fases que adversarios deben de completar para logara su cometido.
The Cyber Kill Chain framework está diseñado en las siguientes 7 fases:
1. Reconnaissance
Identificación del target. Es la fase donde los adversarios planean sus operaciones, investigan qué target puede ser clave para lograr su objetivo.
2. Weaponization
Prepara la operación. Creación de malware, ya sea manual o por medio de herramientas automatizas, o bien, weaponizer, que combina malware y un exploit para entregar un payload.
3. Delivery
Lanzar la operación. Los adversarios entregan el malware en el target por medio de un e-mail malicioso, USB stick, ingeniería social, atacando servidores web, etc.
4. Exploitation
Ganar acceso a la víctima. Los adversarios explotan una vulnerabilidad de software, hardware, o incluso humana en el target para ganar acceso.
5. Installation
Instalación del malware en el activo. Los adversarios instalan un backdoor como persistencia para mantener el acceso por un periodo de tiempo prolongado.
6. Command & Control (C2)
Canal de comunicación remoto para manipular a la víctima. El canal comúnmente puede ser sobre webm DNS o protocolos de e-mail.
7. Actions on objectives
Conseguir el objetivo de la misión. Con el acceso en el equipo target se completa la misión del adversario, pueden recolectar credenciales, escalación de privilegios, movimiento lateral, destruir sistemas, exfiltrar datos, etc.
Detener a los adversarios en cualquier fase rompe la cadena del ciberataque.
Como conclusión, es buena práctica el perfilamiento de adversarios para poder emular sus TTPS, encontrar áreas de oportunidad y fortalecer nuestra estrategia de ciberseguridad.